量子コンピュータの終末カウントダウン？BlockstreamのCEO：ビットコインはまだ20年の準備時間がある

BlockstreamのCEOアダム・バックは、ビットコインが今後20年から40年の間に「おそらく」暗号技術に関連する量子コンピュータ攻撃に直面しないだろうと述べました。長年、量子コンピュータは暗号資産分野で最も注目される終末シナリオであり、ある研究所が量子ビットのマイルストーンを発表するたびに、この脅威が周期的に再現されます。

量子コンピュータ終末論の周期的恐慌

! 量子コンピューターの黙示録

長年にわたり、量子コンピュータの黙示録的なシナリオは、暗号資産の分野で最も注目される脅威であり、遠く離れた存在ながらも生存の脅威をもたらす現象です。ある研究所が量子ビットのマイルストーンを発表するたびに、この脅威は周期的に再浮上します。物語の展開は予測可能な軌跡に従います：研究者たちはいくつかの漸進的なブレークスルーを達成し、ソーシャルメディアでは「ビットコインは死んだ」という予測が爆発し、その後ニュースサイクルは前に進みます。

しかし、Adam Backが11月15日にXについてコメントしたことで、この混乱した状況は打破され、フィジックスに基づく恐慌ではないタイムラインという、この分野に切実に欠けているものが提起されました。BlockstreamのCEOであるBackは、彼のHashcashのプルーフ・オブ・ワークシステムはビットコイン自体よりも早く登場したと述べています。量子研究を加速させる方法について尋ねられた際、彼は率直に評価しました：ビットコインは今後20年から40年の間に「おそらく」暗号技術に関連する量子コンピュータの攻撃に直面することはないでしょう。

さらに重要なのは、彼がビットコインがその日を受動的に待つ必要はないと強調したことです。NISTは量子安全署名スキーム（例えばSLH-DSA）を標準化しており、ビットコインは本当に脅威となる前に、ソフトフォークアップグレードを通じてこれらのツールを採用することができます。彼のコメントは、量子コンピュータの終末リスクを解決不可能な災害から解決可能な工学的問題に再定義し、解決するための数十年の時間を持つことを示しています。

この区別は非常に重要です。なぜなら、ビットコインの真の脆弱性はほとんどの人が考えているようなものではないからです。脅威は、マイニングプロセスの安全を確保するために使用されるハッシュ関数 SHA-256 からではなく、すべての所有権を証明するために用いられる暗号技術である secp256k1 楕円曲線に基づく ECDSA と Schnorr 署名から来ています。ショアのアルゴリズムを実行する量子コンピュータは、secp256k1 上の離散対数問題を解決し、公開鍵から秘密鍵を導出することができるため、全体の所有権モデルが無効になります。純粋な数学の領域において、ショアのアルゴリズムは楕円曲線暗号学を時代遅れのものにしました。

工学理論と現実との巨大なギャップ

しかし、数学と工学は異なる分野に存在します。256ビットの楕円曲線を破るには、約1600から2500の論理エラー訂正量子ビットが必要です。各論理量子ビットは、コヒーレンスを維持し、エラーを修正するために数千の物理量子ビットを必要とします。マーティン・ロエッテラーと他の3人の研究者の作業に基づいて行われた分析計算によれば、ビットコイン取引に関連する狭い時間ウィンドウ内で256ビットECキーを破るには、実際のエラー率のもとで約3.17億の物理量子ビットが必要です。

量子ハードウェアの現状を理解することは重要です。カリフォルニア工科大学の中性子原子システムは約6100の実体量子ビットを操作していますが、これらの量子ビットはノイズがあり、エラー訂正メカニズムが欠けています。QuantinuumとIBMのより成熟したゲートベースのシステムは、数十から数百の論理的品質の量子ビットを運用できます。現在の能力と暗号技術との関連性の間には、数桁の差があります。これは小さな進歩ではなく、量子ビットの品質、エラー訂正、スケーラビリティにおいて根本的な突破口が必要な溝です。

アメリカ国立標準技術研究所（NIST）は、その後量子暗号化に関する解説の中で明確に述べています：現在、暗号技術に関連する量子コンピュータは存在しておらず、その出現時期に関する専門家の予測にも大きなばらつきがあります。一部の専門家は「10年以内」に実現する可能性があると考えていますが、他の専門家は量子コンピュータの出現は2040年以降であると断言しています。中央値の見解は2030年代中頃に集中しており、Backが提案した20年から40年の時間枠は保守的であり、無謀ではないことを示しています。

現在の6100個の物理量子ビットから必要な3.17億個の物理量子ビットへのこの数の飛躍には、エンジニアリングの最適化だけでなく、基礎物理学の突破も必要です。量子コンピュータの終末論者はしばしばこの指数的なギャップを無視し、漸進的な量子ビット数の増加を迫り来る脅威と誤解します。

移行ロードマップはすでに存在し、成熟しています

Backの「ビットコインは時間の経過とともにアップグレードできる」というコメントは、開発者の間で既に広まっている具体的な提案を指しています。BIP-360、「支払い耐量子ハッシュ」と題されたこの提案では、新しい出力タイプが定義されており、その支出条件にはクラシック署名と耐量子署名が含まれています。単一のUTXOは、2つのスキームの下で使用可能であり、これにより強制終了ではなく段階的な移行が実現されます。

Jameson Loppと他の開発者は、BIP-360に基づいて数年にわたる移行計画を策定しました。まず、ソフトフォークを通じてPQをサポートするアドレスのタイプを追加します。次に、攻撃にさらされる出力アドレスからPQで保護された出力アドレスにトークンを移動することを段階的に奨励または補助し、各ブロックでこれらの「救助」操作のために特別にいくつかのブロックスペースを確保します。2017年には、学術界で類似の移行案が提案されていました。

クライアント側の分析は、これが重要であることを示しています。約 25% のビットコイン（約 400 万から 600 万枚）が公開された公鍵のアドレスタイプに存在しています。ビットコインの初期の公鍵決済（P2PKH）出力、再利用された P2PKH アドレス、およびいくつかの Taproot 出力がこれに該当します。一度 secp256k1 に基づく Shor 攻撃が実行可能になると、これらの通貨はすぐに攻撃の標的となります。

量子脅威下のビットコイン保護レベル

高リスク資産（25%）：公開鍵が暴露された古いアドレス、量子コンピュータが直接攻撃可能

中程度のリスク資産：再利用される現代のアドレス、最初の取引後に公開される公開鍵

低リスク資産：新しく未使用の SegWit/Taproot アドレス、公開鍵はハッシュの後に隠されています

ゼロリスク資産：将来 PQ 署名方式を採用するアドレスは、完全に量子攻撃に耐性があります

現代のベストプラクティスは、かなりの程度の保護を提供しています。新しい P2PKH、SegWit、または Taproot アドレスを使用し、再利用しないユーザーは、重要な時間的優位性を得ることができます。これらの出力に対して、公開鍵は初めて使用されるまでハッシュ値の背後に隠されており、攻撃者がメモリプールの確認期間中に Shor を実行するための時間ウィンドウを圧縮します。この時間は年ではなく、分で測定されます。

ポスト量子ツールボックスが準備完了

Back が SLH-DSA に言及したのは、無作為ではありません。2024年8月、NIST は最初の後量子標準を最終決定しました：FIPS 203 ML-KEM は鍵パッケージングに、FIPS 204 ML-DSA は格ベースのデジタル署名に、FIPS 205 SLH-DSA は無状態ハッシュデジタル署名に使用されます。NIST はまた、XMSS と LMS を状態を持つハッシュスキームとして標準化し、格ベースの Falcon スキームも開発中です。

ビットコインの開発者は現在、NISTに承認された一連のアルゴリズムから選択でき、対応する実装やライブラリも参考にできます。ビットコインを中心とした実装はすでにBIP-360をサポートしており、これは後量子ツールボックスが存在し、成熟し続けていることを示しています。このプロトコルは全く新しい数学を発明する必要はなく、長年の暗号分析を経た既存の標準を採用できます。

しかし、これは実現プロセスが順調であることを意味するわけではありません。2025年に発表された論文はSLH-DSAを研究し、Rowhammerスタイルの障害攻撃に対して脆弱であることを発見し、セキュリティが一般的なハッシュ関数に依存しているにもかかわらず、実現プロセス中に強化が必要であることを強調しています。後量子署名は古典的な署名よりも多くのリソースを消費し、これが取引規模とコスト効率の問題を引き起こしています。しかし、これらは既知のパラメータを持つエンジニアリング問題であり、未解決の数学的謎ではありません。

量子コンピュータの終末シナリオと実際のエンジニアリングの課題との違いは、前者が制御不能な物理的脅威であるのに対し、後者はソフトウェアのアップグレード、コミュニティの調整、時間管理によって解決できる問題であるということです。

2025年の脅威はガバナンスであって量子物理ではない

ベイラード傘下のiSharesビットコイン信託（IBIT）は2025年5月に目論見書を改訂し、量子コンピュータリスクに関する大量の開示情報を盛り込み、十分に先進的な量子コンピュータがビットコインの暗号技術を破壊する可能性があると警告しました。アナリストはすぐに、これは標準的なリスク要因の開示であり、一般的な技術および規制リスクと共に列挙されている形式言語であり、ベイラードが量子攻撃が今後発生することを期待しているという信号ではないことを認識しました。最近の脅威は投資家の感情にあり、量子コンピュータ技術そのものではありません。

SSRN 2025 年の研究によると、量子コンピュータに関連するニュースは、一部の資金を量子計算を専門とする暗号資産に転向させることがわかりました。しかし、従来の暗号資産は、このようなニュースが発表される前後にわずかな負のリターンと取引量の急増を示すだけで、構造的な再評価は見られませんでした。2024年と2025年のビットコインの動向を真に駆動する要因を研究する際、ETFの資金流入、マクロ経済データ、規制、流動性サイクルを通じて、量子計算は直接的な原因としてほとんど見なされていません。

ビットコインの量子耐性に関する問題は、開発者がBIP-360または類似の提案を中心に合意に達することができるか、コミュニティが分裂せずに伝統的な通貨の移行を促進できるか、そしてコミュニケーションが物理法則を超える恐怖を防ぐために十分に理性的であるかどうかです。2025年までに、量子コンピュータがもたらすガバナンス上の課題には、価格の動向を決定する触媒ではなく、10年から20年のロードマップを策定する必要があります。物理学の発展は遅いですが、その発展ロードマップは明確に見えています。ビットコインの役割は、ハードウェアが到来する前にPQ準備ツールを採用し、その結果、ガバナンスの行き詰まりを引き起こさず、解決可能な問題を自らの危機に変えることを避けることです。